Finansnæringa preppar seg for krise og krig

Ei “preppeliste” på 18 punkt er lagt fram for å styrke beredskapen i Finansnæringa.  Røynslene frå Ukraina-krigen blir studert nøye, og på Voss har ein av landets minste bankar den største og stoltaste krigshistoria.

Av CLAUDE OLSEN, MAGNE OTTERDAL og INGERID JORDAL (FOTO)

Krigshistoria sit i DNA-et til lokalbanken Voss Sparebank. Då den tyske nazihæren gjekk til åtak på Norge i aprildagane for 85 år sidan, spela nemleg banken ei nøkkelrolle i mobiliseringa og krigen som enda med at Voss vart bomba til grus. På Vossevangen stod to bygningar att då støvet etter dei tyske bombene la seg: Kyrkja og sparebanken.

Newsletter

Abonner på nyhetsbrev

Legg igjen e-postadressen din og motta vårt ukentlige nyhetsbrev med de siste nyhetene fra finansbransjen.

Ute i hovudgata poserer administrerande banksjef Jørund Rong og hovudtillitsvald Jon Sindre Rødland for Finansfokus sin fotograf. Tanken på krig og krise er fjern i den vårblømande vestlandsbygda som badar i strålande maisol berre eit par dagar før nasjonaldagen.

Ei stolt forteljing

Banksjef Rong meiner at dei større systemkritiske bankane i dag har meir hovudrolla i finansnæringa sitt beredskapsarbeid enn små bankar som Voss Sparebank. Likevel er det ikkje tvil om at erfaringane og forteljinga, om korleis nettopp denne banken og nøkkelpersonar den gongen for 85 år sidan handterte krigsmobiliseringa, har ein  verdi også i dag.

– Dette er ei forteljing vi vaks opp med, og vi har mykje dokumentasjon frå den tida, seier Rong.

– Korleis påverkar historia banken og dei tilsette i dag?

– Det er ei stolt forteljing som viser kor viktig ein slik institusjon kan vere i eit lokalsamfunn, både i krisetid og i fredstid.

Samstundes med at folk flest no blir oppmoda om lage seg private beredskapslager i heimen av hermetikk, vatn og anna som trengs for å klare seg gjennom ei krise, tek også finansnæringa stadig nye grep for å være førebudd på det verst tenkelege scenario.

VART SENTRALBANK FOR MOBILISERING: Banksjef Jørund Rong og hovudtillitsvald Jon Sindre Rødland i Voss Sparebank har vakse opp med historia om solid bankhandverk då Vossevangen vart episenter på Vestlandet for krigen mot Nazi-Tyskland.

Beredskapstilsyn

Seksjonssjef Olav Johannessen i Finanstilsynet seier dei er svært opptekne av at finansføretaka, også lokalt, gjer vurderingar av tryggleik og risiko i lys av det nye geopolitiske landskapet. Finanstilsynet har no beredskap som ein del av tilsynet.

– Det kviler på bedriftene å ha på plass rutinar og prosessar for å ivareta drifta best mogleg dersom IKT-systema ikkje er tilgjengelege. Vi peikar på at føretaka må gjere analyser av verksemda der dei ser på kva som er kritisk og viktig, kva som må til for å fungere best mogleg, kva som er støtta som dei er heilt avhengige av og korleis dei skal sikre den på best mogleg måte, seier han.

Det er to tema føretaka må prioritere ifølgje Johannessen: Det eine er å ha forsvarsverk for å redusere risikoen for at føretaket blir råka av noko uønskt. Det andre er å forbetre evna til å redusere konsekvensane dersom dei skulle bli råka av noko uønskt.

BEREDSKAPSLEIAREN. Olav Johannessen i Finanstilsynet leiar Beredskapsutvalet for finansiell infrastruktur (BFI).  (Foto: Fretta / Magne Otterdal)

Finansføretaka har ansvar for å oppretthalde betalingsflyten uansett kva som skjer. Dei må vere førebudde på cyberåtak, straumbrot, hybridkrig og full krig.

Ukraina har vist at det går an å oppretthalde betalingstenestene sjølv midt i ein krig der straumsystemet stadig blir angripen av dronar og missilar. Krigen i Ukraina viser at scenario der kritisk infrastruktur blir øydelagt av andre statar ikkje er utenkjeleg sjølv i Norge.

Norge er ikkje i dag truga av fysiske åtak, men straum og kommunikasjon kan slås ut ved hjelp av sabotasje og hacking, eller av ein omfattande teknisk svikt i straumforsyninga slik vi såg i Spania og Portugal i april 2025.

Ein sterkare vurdering og analyse av IKT-risiko og risikoen ved kjøp av tenester har stått på agendaen i EU i fleire år. Det resulterte i Forordninga om digital operasjonell motstandskraft (DORA) som blei lov i EU i januar 2025, denne forordninga blir tilpassa norsk lov i løpet 2025.

Det er ei stolt forteljing som viser kor viktig ein slik institusjon kan vere i eit lokalsamfunn, både i krisetid og i fredstid.

Jørund Rong, Voss Sparebank

Øver seg på krise og krig

Johannessen leiar Beredskapsutvalet for finansiell infrastruktur (BFI), som består av representantar for myndigheiter og viktige finansaktørar. Dei møtest ordinært tre gonger i året, men hasteinnkallast når det oppstår store forstyrringar i den finansielle infrastrukturen.

I ein krisesituasjon skal BFI varsle og informere råka aktørar og myndigheiter om kva problem som har oppstått, kva konsekvensar problema kan medføre og kva tiltak som blir sett i verk for å løyse dei. Ei viktig oppgåve er å halde betalingstenestene i gang.

BFI har årlege øvingar. I 2024 testa dei korleis finansaktørane og myndigheitene takla ei stenging av Verdipapirsentralen. Etter fire dagar var handel opphøyrt, og enkelte bankar hadde problem med likviditeten og tryggleiken for lån.

I 2023 med oppfølging i 2024 hadde finansmyndigheitene i dei nordiske og baltiske landa ei øving i kommunikasjon dei imellom, i tilfelle eit alvorleg cyberangrep på finanssektoren.

Forslag til nye beredskapstiltak

Ei arbeidsgruppe nedsett av Finansdepartementet har levert ei liste med 18 tiltak som skal styrke beredskapen i betalingssystemet, og som skal gjere det mogleg for deg og meg å handle nødvendige varer i krisesituasjonar og krig.

Eit verstescenario er at ein bankdatasentral blir slått ut. Då vil dei råka bankane miste tilgang til system og kundedata og betalingsformidlinga stoppar opp. Bankane sin eigen backup og reserveløysingar for å gjenopprette data vil ikkje alltid vere nok sidan backupen også kan ha blitt infisert.

Arbeidsgruppa oppnemnd av Finansdepartementet tilrår å etablere eit uavhengig datalager som bankane blir pålagde å sende kundedata til kvar dag. Dersom ei alvorleg hending råkar bankane, kan dei hente kundedata tilbake for å drifte ei forenkla, uavhengig løysing. Då kan bankane framleis tilby nødvendige bank- og betalingstenester som bruk av kort og tilgang til konto og kontooverføringar til sine kundar.

Utvida reserveløysing for BankAxept

I dag har bankane og butikkane reserveløysingar for betaling med BankAxept-kort ved straumbrot, feil i utstyr eller manglande kommunikasjon. Betalingsterminalen går då i offline-modus, kunden godkjenner betalinga med pin-kode eller signatur og dataene blir lagra lokalt i terminalen. Når terminalen får kontakt med betalingsinfrastrukturen igjen, blir dei lagra dataene sendt til oppgjer.

I 2021 blei ordninga utvida til sju dagar for daglegvarekjeder, apotekkjeder og utsalsstader av drivstoff. No føreslår Finansdepartementets arbeidsgruppe å utvide reserveløysinga for BankAxept til fire veker sidan risikobiletet er endra og det kan ta meir enn ei veke å få opp infrastrukturen for betalingstenester.

Reserveløysinga gjeld berre fysiske kort og ikkje bankkort på mobilen. Som ein del av eigenberedskapen bør derfor alle ha eit fysisk kort i reserve. Arbeidsgruppa oppfordrar til at reserveløysinga blir tilpassa digitale BankAxept-kort.

Kommunikasjonen kan også vere broten mellom bankane som utsteder kort og selskapa som prosesserer kortdataene (Nets, Visa og Mastercard). Når ein bank ikkje er tilgjengeleg for å autorisere betaling med kort i ein butikkterminal, kan prosessoperatøren godkjenne betalinga på vegner av banken gjennom ein stand-in-processing (STIP).

Aarmen går

For å stå betre rusta mot cyberangrep, vart foreininga Nordic Financial CERT oppretta i 2017. Den formidlar raskt informasjon om cyberangrep til alle sine medlemmar; bankar, forsikringsselskap og pensjonsselskap pluss sentralbankane i dei nordiske landa.

Hackarane prøver heile tida å bryte seg inn hos nordiske finansføretak, men dei har ingen enkel jobb. Føretaka har bygd opp forsvaret i fleire lag. Det hender at ein hackar kjem gjennom første forsvarslinje, men då går alarmen hos alle medlemmane. Dermed kan dei tilpasse sine datasystem og hindre eit angrep frå same hackergruppe.

DIGITAL BEREDSKAP: Dagleg leiar Morten Tandle i Nordic Financial CERT peikar på den “usynlege krigen” på nettet som det stor trugsmålet mot banktryggleiken.  (Foto: Sjur Anda)

I hybridkrigføring blir alle middel tatt i bruk, ikkje minst via nettet. Aktivistar angrip stadig finansføretak med såkalla tenestenektangrep, det vil seie at dei sender så mykje data til målet at andre ikkje får tilgang til finansføretakets tenester. Det blir gjort for å skape usikkerheit og tvil om finanstjenestene.

Ifølgje dagleg leiar Morten Tandle i Nordic Financial CERT har ingen nordiske finansføretak hatt direkte innbrot med alvorlege konsekvensar.  Men det skjer jamleg mindre hendingar.

– Det er mykje god praksis i finans, og det er strengt regulert. Den nye reguleringa DORA er fornuftig og bra. Den løftar merksemd frå IKT-sikkerheit til verksemdene sin robustheit, og den standardiserer måten å jobbe på. Det beste vernet for finansføretaka er å følgje DORA, ha god cyberhygiene og tydeleg vite kva system ein treng for å levere digitale tenester. Så legg vi tilrette for det operative samarbeidet for best mogleg forsvar, seier han.

Erfaringar frå Ukraina

Då Russland invaderte Ukraina i februar 2022, hadde bankane i landet beredskapsplanar for ulike typar kriser, men ikkje ein fullskala krig. Ein tredel av bankfilialane i utsette område blei sett ut av drift dei første dagane av invasjonen, og overføringa av kontantar blei hindra. Pervin Dadashova i den ukrainske nasjonalbanken delte sine erfaringar om betalingssystemet i dei første krigsåra på eit seminar i Norges Bank i fjor.

Det som redda bankane frå å hamne i ein likviditetsskvis på grunn av mangel på kontantar, var ei rask auke i bruken av elektroniske betalingsmiddel. Dei internasjonale betalingssystema var immune mot direkte fysiske angrep. Etter invasjonen går over 99 prosent av betalingane via Mastercard og Visa.

Den største smellen for bankane var hacking av kommunikasjonsleverandøren KyivStar som varte i tre dagar i desember 2023. Mange ukrainske bankar brukar KyivStar til kommunikasjon og blei råka då hackarar sletta 40 prosent av KyivStars nettinfrastruktur. Butikkterminalar, minibankar og mobilbrukarar blei råka. Bankane sørga for kommunikasjonen med sine filialar via andre kommunikasjonskanalar.

Trass i krigen har betalingssystemet fungert godt ifølgje Dadashova, noko som gjer at ukrainarane framleis har tillit til banksystemet og ikkje har stort behov for kontantar.

Kontantplikt

Attende på Voss tykkjer både banksjef Jørund Rong og hovudtillitsvald Jon Sindre Rødland at røynslene frå Ukraina er interessante å notere seg også for norske bankar. Voss Sparebank har ikkje berre kista med “Steffensetlar”, men stiller med dagens kontantar i beredskapen.

– Mange bankar har ikkje kontantar lenger, men vi opprettheld kontanthandsaming i banken vår og har kontantplikt. Vi har reserveløysingar og planar for ulike scenario, og vi har krisestab.  Det er viktig å kunne ta avgjerder når kriser oppstår og ha kontantberedskap.

Rong satsar på at banken med 29 på lønningslista og 6,9 milliardar kroner i forretningskapital skal vere ein sjølvstendig bank i lange tider framover, trass bølgjene av fusjonar og oppkjøp.

– Det er viktig å ha eit diversifisert og spreidd bankvesen. Småbankar har stor verdi for det lokale næringslivet og lokalbefolkninga, og vårt mål er å være i lokalsamfunnet lengst mogleg og levere på mandatet vårt.

Hovudtillitsvald Rødland berømmer sjefen for at han formidlar alle historiene frå banken, både for kollegaer og i lokalsamfunnet.

– Vi er heldige som har ein banksjef som er så utruleg glad i å fortelje om det som har vore, og setje det inn i dagens perspektiv, seier Rødland.  Voss Sparebank har nemleg ei historie som det er mykje å lære av, den dag i dag.

FINANSNÆRINGENS PREPPELISTE:

Dette er “preppelista” for finansnæringa, slik Finansdepartementet si arbeidsgruppe tilrår:

1. Dagleg rapportering av kundedata frå bankane til eit uavhengig datalager

2. Etablering av uavhengig beredskap for bankane sine kritiske tenester

3. Forbetring av STIP-tenestene for BankAxept (Stand-in-processing)

4. Utviding av BankAxept si utvida reserveløysing frå 1 til 4 veker

5. Innføring av reserveløysing for BankAxept mobilbetaling

6. Oppgjer på brukarstader for kortbetalingar når terminalen er fråkopla nettverk

7. Tillate BankAxept-reserveløysing i ubetente betalingsterminalar for drivstoff

8. Myndigheitsråd til brukarstader om å ha alternative betalingsløysingar

9. Myndigheitsråd til brukarstader om å ha alternativ kommunikasjon til betalingsløysinga si

10. Noregs Bank oppdaterer eigne beredskapsråd om betalingar med ei tilråding om å ha tilgjengeleg eit fysisk debetkort

11. Etablere uavhengig beredskap for oppgjerssystemet til Noregs Bank (NBO)

12. Etablere uavhengig beredskap for NICS netto (Norwegian Interbank Clearing System)

13. Alternativ løysing for å sende Swift-transaksjonar frå bank til NBO

14. Kartleggje om brukarstader mellombels kan endre føretrekt kortordning når den føretrekte er utilgjengeleg

15. Alternative løysingar for identifikasjon

16. Tilgang til digitale banktenester ved større kriser og krig

17. Uavhengig beredskapskommunikasjon for betalingar og kontoinformasjon

18. Styrking av det løpande arbeidet med heilskapleg beredskap

(Kjelde: Finansdepartementet si arbeidsgruppe)

Beredskap Cybersikkerhet krigen i Ukraina

Relatert

Teknologi

Tap to pay på iPhone

Nets introduserer Tap to Pay på iPhone i Norge, en løsning som gjør det mulig for handels- og tjenestenæringen å akseptere kontaktløse betalinger enkelt og sikkert uten ekstra hardware.

Teknologi

Krigen i Ukraina

Ingen forsikring dekker krigsskader

Serhiy Grykyn er en av mange millioner ukrainere som har fått boligen sin skadet eller ødelagt av krigen. Tre år etter at huset hans ble bombet i fillebiter har lite skjedd. Ingen forsikring i verden dekker skader av krigens bomber.

Krigen i Ukraina

Arbeidsliv

Konverterer sykepleiere til bankfolk

Flere titalls banker rapporterer om alvorlige rekrutteringsproblemer, ifølge Nav. Sykepleiere, bilbransjefolk og lærere er blant yrkene som rekrutteres til finansjobber. 

Arbeidsliv
Redaktørplakaten Vær Varsomplakaten